Ülkenin siber güvenlik ajansı Salı günü yayınlanan bir raporda, Fransa’daki bir saldırı çılgınlığı sırasında Ivanti Cloud Services cihaz cihazlarını etkileyen üçlü sıfır günlük güvenlik açıkları aracılığıyla geçen yıl çok sayıda kritik altyapı sektörünün vurulduğunu söyledi.
Telekomünikasyon, medya, finans ve ulaşım endüstrilerindeki devlet kurumları ve kuruluşları, Fransız Ulusal Ajansı’na göre, CVE-2024-8190, CVE-2024-8963 ve CVE-2024-9380’in yaygın sıfır gün istismarlarından etkilenmiştir.
Fransız yetkilileri, Mantiant’a göre, saldırıları Çin Devlet Güvenliği Bakanlığı için muhtemelen yüklenici olarak çalışan Çinli hacktivist kolektiflerin eski bir üyesi olan UNC5174’e bağlıyor. Daha önce Connectwise Screenconnect, F5 Big-IP, Atlassian Confluence, Linus çekirdeği ve zyxel güvenlik duvarlarında kenar aygıt güvenlik açıklarından yararlanan “Uteus” kişisini kullandığına inanılan saldırgan.
Fransa’daki yetkililer, UNC5174’ün sıfır gün güvenlik açıkları, sofistike bir rootkit, çeşitli açık kaynaklı araçlar, ticari VPN’ler ve özel sunucular kullanan “Houken” adlı benzersiz bir saldırı seti kullandılar. Yetkililer, Houken ve UNC5174’ün muhtemelen kimlik bilgilerini çalan ve kurban ağlarına kalıcı erişim elde etmek için mekanizmaları dağıtan bir başlangıç erişim komisyoncusu olan aynı tehdit oyuncusu tarafından işletildiğini söyledi.
Fransa’nın siber güvenlik ajansı raporda, “Kenar cihazlarındaki güvenlik açıklarının fırsatçı olarak kullanılması nedeniyle belgelenmiş olsa da, UNC5174 ile bağlantılı bir tehdit aktörü tarafından sıfır günlerin kullanılması yeni” dedi. “UNC5174 ve Houken saldırı setlerinin arkasındaki operatörler, büyük olasılıkla, anlayışlı zeka arayan devlet bağlantılı bir aktöre satmak için değerli başlangıç erişimleri arıyorlar.”
Siber Güvenlik ve Altyapı Güvenlik Ajansı, Ocak ayında tehdit aktörlerinin ilk erişim elde etmek, uzaktan kod yürütme yapmak, kimlik bilgileri elde etmek ve kurban ağlarında implant web kabuklarını üç Ivanti sıfır gününü zincirlediklerini söyledi.
Nisan ayında SYSDIG araştırmacıları, daha yaygın siber suç aktivitesiyle karışmak için Vshell ve WebSockets gibi açık kaynaklı saldırı güvenlik araçlarını kullanarak Çin devlet destekli hack grubunun UNC5174’ü gözlemlediklerini söyledi.
Çin bağlantılı casusluk grupları da dahil olmak üzere birden fazla saldırgan, Ivanti ürünlerinde uzun süredir güvenlik açıklarından yararlandı. Ivanti, 2021’den bu yana en az 10 farklı ürün serisinde, geçen yılın başlangıcından bu yana bu alandaki diğer satıcılardan daha fazla olan çok sayıda güvenlik açıkına sahip tekrarlanan bir suçlu, nakliye yazılımıdır.
CISA’nın bilinen sömürülen güvenlik açıkları kataloğu, son dört yılda 30 Ivanti kusuru içeriyor ve saldırganlar, siber yetkililere göre, bu yıl Ivanti ürünlerinde yedi güvenlik açıkından yararlandı.
Ivanti sözcüsü yaptığı açıklamada, “Savunuculara yardım etmek için bilgi paylaşımını destekliyoruz. Bu rapor, geçen sonbaharda bulut hizmetleri cihazının yaşam sonu versiyonunu etkileyen tehdit aktör etkinliğini kapsıyor. Tamamen yamalı veya yükseltilmiş sürümlerde müşteriler etkilenmedi” dedi.
“Ivanti, 2024’te bir yama yayınladı ve tüm müşterileri bu güvenlik açığından etkilenmeyen CSA sürüm 5.0’a yükseltmeye şiddetle çağırdı. Müşterilerimizin güvenliği ve korunması en büyük önceliğimiz olmaya devam ediyor ve bunları desteklemeye kararlıyız.”